SQLServer2008数据库应用技术张素青孙杰第11章课件教学.pptVIP

第11章 安全管理 目录 ◎本章目标 ■了解：数据库的安全机制和SQL Sever数据库安全的管理内容 ■理解：数据库安全的概念、角色的概念 ■掌握：SQL Sever的两种身份验证模式的基本操作 ◎本章内容 ■11.1 安全管理结构 ■11.2 服务器安全管理 ■11.3 数据库安全管理 ■11.4 权限管理 11.2 服务器安全管理 11.2.1 身份验证模式 1．Windows 验证模式 2. 混合验证模式 11.2.2 管理登录用户 登录用户是访问服务器安全对象的主体。根据身份验证模式的不同，系统允许创建两类登录：Windows登录用户和SQL Sever登录用户。SQL Sever 2008使用SSMS(SQL Sever Management Studio)和T-SQL语句对登录用户进行管理。 11.2.3 管理固定服务器角色 服务器角色是一种权限机制，SQL Sever管理员可以将某些用户设置为某角色，由于服务器角色是在服务器层次上的，因此它们位于数据库服务器中数据库的外层。 11.3 数据库安全管理 用户登录服务器后，如果想对某一个数据库进行操作，还得成为这个数据库的用户。该用户具体能够对数据库及其对象进行怎么样的操作，将会由数据库安全管理这一层次进行权限设置。数据库安全管理包括数据库用户账户的建立，与登录名的映射，据库用用户账户的修改、删除和权限授予、拒绝等操作，使用SSMS或者T-SQL语句实现对用户账户的进行管理，为了便于管理数据库用户，系统可以为数据库用户分配数据库角色。 11.3.1 管理数据库用户 数据库用户是定义在数据库层次的安全控制手段，在SQL Server 2008中，登录名和数据库用户是SQL Server进行权限管理的时候两个不同层次的对象，数据库用户在定义时必须与一个登录名相关联，一个登录名可以与SQL Sever数据库服务器上的所建立的所有数据库进行关联。数据库用户是一个登录名在某个数据库用户中的映射。 11.3.2 管理数据库角色 对十种数据库角色的具体描述如下： db_owner：成员可以执行数据库的所有配置和维护活动，还可以删除数据库。 db_securityadmin：成员可以修改角色成员身份和管理权限。向此角色中添加主体可能会导致意外的权限升级。 db_accessadmin：成员可以为 Windows 登录名、Windows 组和 SQL Server 登录名添加或删除数据库访问权限。 db_backupoperator：成员可以备份数据库。 db_ddladmin：成员可以在数据库中运行任何数据定义语言 (DDL) 命令。 db_datawriter：成员可以在所有用户表中添加、删除或更改数据。 db_datareader：成员可以从所有用户表中读取所有数据。 db_denydatawriter：成员不能添加、修改或删除数据库内用户表中的任何数据。 db_denydatareader：成员不能读取数据库内用户表中的任何数据。 public：最基本的数据库角色，数据库中的成员都自动成为该角色成员。 11.4 权限管理 权限用来指定授权用户可以使用的数据库对象及可以对这些数据库对象执行的操作。用户在登录到SQL Server服务器之后，其用户账号所归属的Windows组或角色所被赋予的权限决定了该用户能够对哪些数据库对象执行哪种（查询、修改、插入和删除）操作。在每一个数据库中，用户的权限独立于用户账号和用户所在的数据库角色，每一个数据库都有自己的权限系统。在SQL Server 2008中对数据库权限的管理同样有两种方式，即使用图形界面SSMS和T-SQL语句。 在SQL Server2008中权限的类型包括三种：默认权限、对象权限和语句权限。 1.默认权限 2.对象权限 3.语句权限 本章小结 SQL Server的安全模型采用为主体分配安全对象的访问权限机制。根据安全对象的级别不同，SQL Server 2008将安全管理结构分为两个层次：服务器安全管理和数据库安全管理。 在服务器安全管理阶段，SQL Server 2008为登录账户提供两种身份验证模式：Windows身份验证和混合模式身份验证。 用户登录服务器后，可以通过将用户加入到某个服务器角色中，使该用户对服务器具有该角色所具有的权限。 要使登录用户对某个数据库具有权限，首先要使该登录账户成为数据库的用户，然后将该用户加入到某个数据库角色中。 权限是指用户对数据库中对象的使用及操作权利。有3种权限类型：默认权限、对象权限和语句权限。通过对对象设置权限或对用户设定权限，都可以使用户具有对某个数据库对象的相应权限。 可以在